| |
| |||||||
Log-Analyse und Auswertung: VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
04.01.2005, 02:16
| #1 |
 |  VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! Hallo! Weiß nicht mehr weiter! Logfile of HijackThis v1.97.7 Scan saved at 01:25:40, on 04.01.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\DATALAYER\DATALAYER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\TOOLS\NCLTRAY.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE C:\WINDOWS\DESKTOP\MAPOCHAR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\SERVICES\SERVICELAYER.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\BOUNCER\BOUNCER.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.werbeagentur.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001 F0 - system.ini: Shell=c:\windows\Explorer.exe O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\liveupdate.exe 110 O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q O4 - HKCU\..\RunServices: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\RunServices: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q O4 - Startup: tmpdelis.bat O4 - Startup: Verknüpfung mit mapOchar.exe.lnk = C:\WINDOWS\Desktop\mapOchar.exe O4 - Startup: tmpdelis.PIF = ? O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: JAP.lnk = C:\Programme\Jap\jap.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: eBay - Homepage (HKLM) O9 - Extra button: Spyware Doctor (HKLM) O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab ----------------------------------------- Auszug aus escan: File C:\WINDOWS\SYSTEM\IPSCLASS.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\IX32.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\MBWSOSP.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\OJE2CONV.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\DXKAPI16.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\CDUSALGO.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\RKFEDIT.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\SHMSCRPT.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\LILMA90N.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\RFSAPI16.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\MT3216.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\IPSCLASS.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\HRD.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\mhtext35.dll tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\MFYUV.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\emlate32.dll tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\DQLMSC32.dll tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\OUMREG.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\p2esocks_1023.dll infected by "Trojan.Win32.P2E.aj" Virus. Action Taken: File Deleted. File C:\WINDOWS\SYSTEM\IX32.DLL tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\auist5.dll tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. File C:\WINDOWS\SYSTEM\THbctde.dll tagged as not-a-virus:AdWare.Look2Me.r. No Action Taken. Komplettes log FOLGT! ------------------------------------------------------------------ Bazooka meldet alle i.O. ---------------------------------- CWShredder 2.12 meldet: CWS.BootConf und CWS.Cvchost32 gefunden. Kann nicht reparieren. CH.. liegt aber nicht im win-Verzeichnis! --------------------------------- Es kommen sporadische Seiten wie z.B. loadingwebsite.com und mediabuy-nic... ---------------------------------- Norton AV startet nicht mehr. Aus DOS scannt er brav, findet aber nicht... ---------------------------------- Meine onlinebanking-Konten können nicht mehr aufgerufen werden... SORGE? -------------------------------------------------- Trotz DSL: Alles super langsam! -------------------------------------------------- SpyBouncer meldet noch 6 weitere Trojas coolwebsearch etc.. Muss nochmal laufen lassen. FOLGT! ------------------------------------------------ SpywareDoctor: VirtualBouncer akamaidownloadv3.com IEPLUGIN SurfSideKick2 LOG: Scan Results: scan start: 04.01.04 01:29:14 scan stop: 04.01.04 01:38:40 scanned items: 131484 found items: 40 found and ignored: 0 tools used: General Scanner, Process Scanner, Hosts scanner, LSP Scanner, Registry Scanner, Cookie Scanner, Browser Defaults, Favorites and ZoneMap Scanner, Browser Scanner, Disk Scanner Infection Name Location Risk EasyWebSearch HKCU\Software\SurfSideKick2 High EasyWebSearch HKCU\Software\SurfSideKick2\Internet Explorer High Virtual Bouncer HKCR\ChilkatZip.ChilkatEnum Medium Virtual Bouncer HKCR\ChilkatZip.ChilkatEnum.1 Medium Virtual Bouncer HKCR\ChilkatZip.ChilkatZip Medium Virtual Bouncer HKCR\ChilkatZip.ChilkatZip.1 Medium Virtual Bouncer HKCR\ChilkatZip.ChilkatZip2 Medium Virtual Bouncer HKCR\ChilkatZip.ChilkatZip2.1 Medium Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry Medium Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry.1 Medium Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry2 Medium Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry2.1 Medium Virtual Bouncer HKCR\clsid\{18BBDF4D-611D-41CE-A7E7-B2DD23C250D1} Medium Virtual Bouncer HKCR\clsid\{8551311D-F3BF-4718-AD66-96E302500735} Medium Virtual Bouncer HKCR\clsid\{CE23505D-68FB-4C49-AE4B-D4F1CF86A2C4} Medium Virtual Bouncer HKCR\clsid\{DB90DEA9-0897-4B02-9FE0-1E321A22EAB0} Medium Virtual Bouncer HKCR\clsid\{DB92433D-1902-4789-BAFC-B46B0DCDEBB7} Medium Virtual Bouncer HKCR\clsid\{EC352548-52B5-41AC-B8C1-8CB561ECF7AD} Medium Virtual Bouncer HKCR\Interface\{13C243A0-50E9-43F4-8E5B-9FF857C3A0B5} Medium Virtual Bouncer HKCR\Interface\{4340DF8E-D7A3-4675-BE74-80077B2B3E81} Medium Virtual Bouncer HKCR\Interface\{4A277E1B-B130-4E4A-92AE-8712F4A150BD} Medium Virtual Bouncer HKCR\Interface\{4B795337-D704-49C7-8CA1-D65722B28EBD} Medium Virtual Bouncer HKCR\Interface\{6D37DED8-1944-4E32-93FD-B9610E0AD8E3} Medium Virtual Bouncer HKCR\Interface\{8DD9B882-0041-449D-A0BD-77A87119AD90} Medium Virtual Bouncer HKCR\Interface\{92DD4B20-DE93-4F74-8BCA-EC7F88FDAC5D} Medium Virtual Bouncer HKCR\Interface\{950695DA-8F77-4852-AD93-8C1E64995D4B} Medium Virtual Bouncer HKCR\TypeLib\{6F65ED0D-066E-4C92-B442-2704E7B64111} Medium Virtual Bouncer HKLM\SOFTWARE\Chilkat Software, Inc.\ChilkatZip.ChilkatZip Medium akamai.downloadv3.com {469C7080-8EC8-43A6-AD97-45848113743C} High akamai.downloadv3.com {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} High Virtual Bouncer {18BBDF4D-611D-41CE-A7E7-B2DD23C250D1} Medium Virtual Bouncer {8551311D-F3BF-4718-AD66-96E302500735} Medium Virtual Bouncer {CE23505D-68FB-4C49-AE4B-D4F1CF86A2C4} Medium Virtual Bouncer {DB90DEA9-0897-4B02-9FE0-1E321A22EAB0} Medium Virtual Bouncer {DB92433D-1902-4789-BAFC-B46B0DCDEBB7} Medium Virtual Bouncer {EC352548-52B5-41AC-B8C1-8CB561ECF7AD} Medium IEPlugin C:\WINDOWS\Profiles\Burkhard\Anwendungsdaten\Sskknwrd.dll Medium EasyWebSearch C:\WINDOWS\Profiles\Burkhard\Anwendungsdaten\Sskuknwrd.dll High --------------------------------------------- Trotz sorgfältiger registry Entfernung im abges. Modus keine Erfolge! Bitte helft mir! DANKE!  |
|
04.01.2005, 10:30
| #2 |
  |  VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! @ninja-2
__________________lade dir LSP-Fix http://www.cexx.org/lspfix.htm repariere damit deine winsocks lade dir spybot bei http://www.safer-networking.org/de/a...-managers.html update es, dann scannen das würde ich gerne von escan lesen Öffne C:\bases\mwav.log Am Ende folgendes suchen und hier rein kopieren: Zitat: Total Files Scanned: Total Virus(es) Found: Total Disinfected Files: Total Files Renamed: Total Deleted Files: Total Errors: Time Elapsed: Virus Database Date: Virus Database Count: wechsle in den abgesicherten modus und lösche alle hier gepostete Adware Look2me manuell der ist im system http://www.symantec.com/avcenter/ven...arys.b@mm.html fixe danach mit HjT O4 - Startup: tmpdelis.bat O4 - Startup: tmpdelis.PIF = ? O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\liveupdate.exe 110 lösche dann manuell tmpdelis.bat tmpdelis.PIF C:\PROGRAMME\BOUNCER\BOUNCER.EXE C:\Programme\Bouncer\liveupdate.exe 110 danach neu starten, teile uns das gesamte (!) Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) ich vermute dass du viel mehr im system hast, poste bitte obengenannten benütze bitte der aktuelle version von hjt http://www.hijackthis.de/ chaosman
__________________ |
|
04.01.2005, 16:06
| #3 |
| | VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! [QUOTE=chaosman]@ninja-2
__________________lade dir LSP-Fix http://www.cexx.org/lspfix.htm repariere damit deine winsocks HABE ICH, aber anscheinend...? -------------------------------------------------------- Hier sämtliche LOGfiles: Er will meine Antwort nicht. Kann ich die komplette Notepad-Datei senden? |
|
04.01.2005, 16:17
| #4 |
| | VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! Habe es geschafft, die Texte als Anhang hochzuladen ... Eine Datei war einfach zu groß! :-) |
|
04.01.2005, 16:26
| #5 |
| | VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! @all, das ist das logfile von ninja-2 Logfile of HijackThis v1.99.0 Scan saved at 14:53:09, on 04.01.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\ESCAN\TRAYICOS.EXE C:\PROGRAMME\ESCAN\ESCANMX.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\DATALAYER\DATALAYER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\TOOLS\NCLTRAY.EXE C:\PROGRAMME\ESCAN\AVPMWRAP.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE C:\WINDOWS\DESKTOP\MAPOCHAR.EXE C:\PROGRAMME\JAP\JAP.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\SERVICES\SERVICELAYER.EXE C:\PROGRAMME\JAVA\J2RE1.4.1_02\BIN\JAVAW.EXE C:\PROGRAMME\ESCAN\AVPM.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\ESCAN\AVPM.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.werbeagentur.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001 O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\CFGWIZ.EXE /R O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q O4 - Startup: tmpdelis.bat O4 - Startup: Verknüpfung mit mapOchar.exe.lnk = C:\WINDOWS\Desktop\mapOchar.exe O4 - Startup: tmpdelis.PIF = ? O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: JAP.lnk = C:\Programme\Jap\jap.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
__________________ Bonus vir semper tiro |
|
04.01.2005, 16:34
| #6 |
| | VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! @ninja-2 lade dir spybot, http://www.safer-networking.org/de/a...-managers.html scannen lassen. wechsle dann in den abgesicherten modus und fixe O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O4 - Startup: tmpdelis.bat O4 - Startup: tmpdelis.PIF = ? O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing neu booten, wenn dein Internetverbindung nicht mehr geht, dann mit LSP-Fix deine winsocks reparieren. poste doch mal deine ergebnisse von escan EscanErgebnis Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." chaosman
__________________ --> VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! |
|
04.01.2005, 18:00
| #7 |
| | VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! Spybot läuft noch. Fixe nachher im abges. Modus. Mit Version 1.3 oder beta 14.? poste doch mal deine ergebnisse von escan: Ja, bitte hier: Di Jan 04 14:12:45 2005 => ***** Scanning Completed. ***** Di Jan 04 14:12:45 2005 => Di Jan 04 14:12:45 2005 => Total Number of Files Scanned: 104942 Di Jan 04 14:12:45 2005 => Total Number of Files Infected: 0 Di Jan 04 14:12:45 2005 => Total Number of Files Disinfected: 0 Di Jan 04 14:12:45 2005 => Total Number of Files Renamed: 0 Di Jan 04 14:12:45 2005 => Total Number of Files Deleted: 0 Di Jan 04 14:12:45 2005 => Total Number of Errors: 0 Di Jan 04 14:12:45 2005 => Time Elapsed:: 01:00:18 |
|
05.01.2005, 01:05
| #8 |
| | VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! Im abges. alles weg! Jetzt alles wieder da! Hijackthis 1.99.0: Logfile of HijackThis v1.99.0 Scan saved at 01:04:19, on 05.01.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\DATALAYER\DATALAYER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\TOOLS\NCLTRAY.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\BETA\TEATIMER.EXE C:\WINDOWS\DESKTOP\MAPOCHAR.EXE C:\PROGRAMME\JAP\JAP.EXE C:\PROGRAMME\JAVA\J2RE1.4.1_02\BIN\JAVAW.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\SERVICES\SERVICELAYER.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\BETA\SPYBOTSD.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.werbeagentur.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001 O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\beta\TeaTimer.exe O4 - Startup: tmpdelis.bat O4 - Startup: Verknüpfung mit mapOchar.exe.lnk = C:\WINDOWS\Desktop\mapOchar.exe O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: JAP.lnk = C:\Programme\Jap\jap.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm -------------------------------------------- Spybot: --- Search result list --- Common hijacker: Umgeleiteter Host (Umgeleiteter Host, nothing done) Common hijacker: Umgeleiteter Host (Umgeleiteter Host, nothing done) CoolWWWSearch.Bootconf: Umgeleiteter Host (Umgeleiteter Host, nothing done) CoolWWWSearch.Loadbat: Umgeleiteter Host (Umgeleiteter Host, nothing done) CoolWWWSearch.Msconfd: Umgeleiteter Host (Umgeleiteter Host, nothing done) CoolWWWSearch.Oslogo: Umgeleiteter Host (Umgeleiteter Host, nothing done) CoolWWWSearch.Tapicfg: Umgeleiteter Host (Umgeleiteter Host, nothing done) CoolWWWSearch.Xmlmimefilter: Umgeleiteter Host (Umgeleiteter Host, nothing done) IGetNet: Umgeleiteter Host (Umgeleiteter Host, nothing done) In der HOSTS-Date liegen die IP-Adressen wieder drin.. Fixe mal mit dem removal-Tool für wwwcoolsearch... |
|
05.01.2005, 01:09
| #9 |
| | VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! Der hoffnungsvolle Smartkiller brachte nichts! ??????????????????????????????? *ratlos sei...*???????  |
|
05.01.2005, 11:26
| #10 |
| | VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! @ninja-2 Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" wechsle in den abgesicherten modus, lasse HJT scannen, fixe(häkchen setzen, und Fix Checked klicken), R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.werbeagentur.de/ O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O4 - Startup: tmpdelis.bat suche der tmpdelis.bat anschließend löschen neu booten chaosman
__________________ Bonus vir semper tiro |
|
05.01.2005, 16:05
| #11 |
| | VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! Ich habe mit HIJ und spybot im abges. Modus gescannt, alle Probleme -auch die du beschrieben hast gefixed. Dann alle anderen Probleme in der Registry manuell gelöscht. Manuelle Löschung der Dateien vorgenommen. ---------------------------------------------------------- Nach der Fixierung im abges. Mode: (Mache gleich nach diesem Beitrag einen NS, um zu sehen, was Sache ist...): Logfile of HijackThis v1.99.0 Scan saved at 15:59:43, on 05.01.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\DATALAYER\DATALAYER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\TOOLS\NCLTRAY.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\BETA\TEATIMER.EXE C:\PROGRAMME\JAP\JAP.EXE C:\PROGRAMME\JAVA\J2RE1.4.1_02\BIN\JAVAW.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\SERVICES\SERVICELAYER.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\BETA\SPYBOTSD.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001 O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\CFGWIZ.EXE /R O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\liveupdate.exe 110 O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\beta\TeaTimer.exe O4 - Startup: Verknüpfung mit mapOchar.exe.lnk = C:\WINDOWS\Desktop\mapOchar.exe O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: JAP.lnk = C:\Programme\Jap\jap.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL ------------------------------------------------------------------------ SPYBOT war im abges. Modus komplett OHNE FEHLER! Getreu dem Motto: „Gratulation. Keine Spione gefunden!” Nach Neustart sagt er dies: Spybot: --- Search result list --- Common hijacker: Umgeleiteter Host (Umgeleiteter Host, nothing done) Common hijacker: Umgeleiteter Host (Umgeleiteter Host, nothing done) CoolWWWSearch.Bootconf: Umgeleiteter Host (Umgeleiteter Host, nothing done) CoolWWWSearch.Loadbat: Umgeleiteter Host (Umgeleiteter Host, nothing done) CoolWWWSearch.Msconfd: Umgeleiteter Host (Umgeleiteter Host, nothing done) CoolWWWSearch.Oslogo: Umgeleiteter Host (Umgeleiteter Host, nothing done) CoolWWWSearch.Tapicfg: Umgeleiteter Host (Umgeleiteter Host, nothing done) CoolWWWSearch.Xmlmimefilter: Umgeleiteter Host (Umgeleiteter Host, nothing done) IGetNet: Umgeleiteter Host (Umgeleiteter Host, nothing done) --- Spybot - Search & Destroy version: 1.4 ß2 (build: 20041211) --- 2005-01-04 unins000.exe (51.15.0.0) 2004-09-27 blindman.exe (1.0.0.0) 2004-12-11 SpybotSD.exe (1.4.0.0) 2004-12-06 TeaTimer.exe (1.4.0.0) 2004-09-27 Update.exe (1.3.0.0) 2004-11-29 advcheck.dll (1.0.1.0) 2004-09-27 borlndmm.dll (7.0.4.453) 2004-09-27 delphimm.dll (7.0.4.453) 2004-10-20 SDHelper.dll (1.3.0.12) 2004-09-27 Tools.dll (2.0.0.0) 2004-09-27 UnzDll.dll (1.73.1.1) 2004-09-27 ZipDll.dll (1.73.2.0) 2004-11-29 Includes\Cookies.sbi (*) 2004-12-15 Includes\Dialer.sbi (*) 2004-12-16 Includes\Hijackers.sbi (*) 2004-12-15 Includes\Keyloggers.sbi (*) 2004-12-15 Includes\Malware.sbi (*) 2004-11-29 Includes\Revision.sbi (*) 2004-11-29 Includes\Security.sbi (*) 2004-12-16 Includes\Spybots.sbi (*) 2004-12-15 Includes\Trojans.sbi (*) 2004-08-11 Includes\plugin-ignore.ini 2004-11-29 Includes\Tracks.uti (*) --- System information --- Windows 98 (Build: 2222) A / DirectX: DirectX Update 819696 / DataAccess: Buffer Overrun in Microsoft Data Access Components Could Lead to Code Execution / DataAccess: Microsoft Data Access Components KB870669 / Windows Media Player: Windows Media Update 817787 / Windows Media Player: Windows Media Update 320920 / Windows Media Player: Windows Media Update 819639 / Windows Media Player: Windows Media Update 837272 / .NETFramework / 1.1: Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) / MSXML4: Patch Available For XMLHTTP Vulnerability ------------------------------------------------------------------ Als weiteres PROBLEM zeigt sich der VIRUS/TROJANER: Suchergebnisse: Suche starten: 05.01.05 15:01:03 suche anhalten: 05.01.05 15:09:56 durchsuchte Objekte: 132481 gefundene Objekte: 34 gefunden und ignoriert: 0 verwendete Werkzeuge: General Scanner, Process Scanner, Hosts scanner, LSP Scanner, Registry Scanner, Cookie Scanner, Browser Defaults, Favorites and ZoneMap Scanner, Browser Scanner, Laufwerk Scanner Name der Infizierung Standort Risiko Virtual Bouncer HKCR\ChilkatZip.ChilkatEnum Mittel Virtual Bouncer HKCR\ChilkatZip.ChilkatEnum.1 Mittel Virtual Bouncer HKCR\ChilkatZip.ChilkatZip Mittel Virtual Bouncer HKCR\ChilkatZip.ChilkatZip.1 Mittel Virtual Bouncer HKCR\ChilkatZip.ChilkatZip2 Mittel Virtual Bouncer HKCR\ChilkatZip.ChilkatZip2.1 Mittel Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry Mittel Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry.1 Mittel Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry2 Mittel Virtual Bouncer HKCR\ChilkatZip.ChilkatZipEntry2.1 Mittel Virtual Bouncer HKCR\ChilkatZip.ZipProperties Mittel Virtual Bouncer HKCR\ChilkatZip.ZipProperties.1 Mittel Virtual Bouncer HKCR\clsid\{18BBDF4D-611D-41CE-A7E7-B2DD23C250D1} Mittel Virtual Bouncer HKCR\clsid\{8551311D-F3BF-4718-AD66-96E302500735} Mittel Virtual Bouncer HKCR\clsid\{CE23505D-68FB-4C49-AE4B-D4F1CF86A2C4} Mittel Virtual Bouncer HKCR\clsid\{DB90DEA9-0897-4B02-9FE0-1E321A22EAB0} Mittel Virtual Bouncer HKCR\clsid\{DB92433D-1902-4789-BAFC-B46B0DCDEBB7} Mittel Virtual Bouncer HKCR\clsid\{EC352548-52B5-41AC-B8C1-8CB561ECF7AD} Mittel Virtual Bouncer HKCR\Interface\{13C243A0-50E9-43F4-8E5B-9FF857C3A0B5} Mittel Virtual Bouncer HKCR\Interface\{4340DF8E-D7A3-4675-BE74-80077B2B3E81} Mittel Virtual Bouncer HKCR\Interface\{4A277E1B-B130-4E4A-92AE-8712F4A150BD} Mittel Virtual Bouncer HKCR\Interface\{4B795337-D704-49C7-8CA1-D65722B28EBD} Mittel Virtual Bouncer HKCR\Interface\{6D37DED8-1944-4E32-93FD-B9610E0AD8E3} Mittel Virtual Bouncer HKCR\Interface\{8DD9B882-0041-449D-A0BD-77A87119AD90} Mittel Virtual Bouncer HKCR\Interface\{92DD4B20-DE93-4F74-8BCA-EC7F88FDAC5D} Mittel Virtual Bouncer HKCR\Interface\{950695DA-8F77-4852-AD93-8C1E64995D4B} Mittel Virtual Bouncer HKCR\TypeLib\{6F65ED0D-066E-4C92-B442-2704E7B64111} Mittel Virtual Bouncer HKLM\SOFTWARE\Chilkat Software, Inc.\ChilkatZip.ChilkatZip Mittel Virtual Bouncer {18BBDF4D-611D-41CE-A7E7-B2DD23C250D1} Mittel Virtual Bouncer {8551311D-F3BF-4718-AD66-96E302500735} Mittel Virtual Bouncer {CE23505D-68FB-4C49-AE4B-D4F1CF86A2C4} Mittel Virtual Bouncer {DB90DEA9-0897-4B02-9FE0-1E321A22EAB0} Mittel Virtual Bouncer {DB92433D-1902-4789-BAFC-B46B0DCDEBB7} Mittel Virtual Bouncer {EC352548-52B5-41AC-B8C1-8CB561ECF7AD} Mittel Hatte ALLE FEHLER EINZEL MANUELL IM ABGES: MODUS aus der Reg. entfernt und nochmals laufen lassen-Kein Fehler mehr da! Kaum Neustart-schon wieder alles komplett da! Was ist das eigentlich Chilkat? |
|
05.01.2005, 16:21
| #12 |
| | VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! Habe inzwischen im TEMP-Ordner eine „bw2.exe”-Datei drauf? Was ist denn das nun schon wieder? Jetzt habe ich Neustart gemacht und... Logfile of HijackThis v1.99.0 Scan saved at 16:20:02, on 05.01.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\DATALAYER\DATALAYER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\TOOLS\NCLTRAY.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\BETA\TEATIMER.EXE C:\WINDOWS\DESKTOP\MAPOCHAR.EXE C:\PROGRAMME\JAP\JAP.EXE C:\PROGRAMME\JAVA\J2RE1.4.1_02\BIN\JAVAW.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\PCSUITE\SERVICES\SERVICELAYER.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\BOUNCER\BOUNCER.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\BETA\SPYBOTSD.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001 O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\CFGWIZ.EXE /R O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\liveupdate.exe 110 O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\beta\TeaTimer.exe O4 - Startup: Verknüpfung mit mapOchar.exe.lnk = C:\WINDOWS\Desktop\mapOchar.exe O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: JAP.lnk = C:\Programme\Jap\jap.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL Ich weiß nicht mehr WEITER! |
|
05.01.2005, 17:30
| #13 |
| Administrator, a.D. | VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! Fixe im abgesicherten Modus: O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 ieautosearch O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\liveupdate.exe 110 Löschen: c:\windows\SYSTEM\wucrtupd.exe Ordner C:\Programme\Bouncer - Neustart Lade anschliessend DllCompare. Doppelklick auf DllCompare.exe -> Run locate.com -> wenn der Scan erfolgt ist "Compare" klicken -> wenn auch dieser Scan fertig ist "Make a Log of what was found" klicken -> Inhalt des Logs posten Was ergab die Überprüfung durch eScan? |
|
05.01.2005, 20:34
| #14 |
| | VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! * DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ C:\WINDOWS\SYSTEM\mbwsosp.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\oje2conv.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\dxkapi16.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\cdusalgo.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\rkfedit.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\shmscrpt.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\lilma90n.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\rfsapi16.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\mt3216.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\izcvid.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\ipsclass.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\mhtext35.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\mfyuv.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\emlate32.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\dqlmsc32.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\oumreg.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\rdcltccm.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\dtgsig.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\ldnkinfo.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\mmvcrt20.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\qavd.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\mfc42enu.dll Wed Jun 17 1998 2:08:32a A.SH. 53,248 52.00 K C:\WINDOWS\SYSTEM\auist5.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\thbctde.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\ldeps90n.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\dfgsig.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\vv40032.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\lplmb80n.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\gypane2.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\dkusic.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\morle32.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\djdrm.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\its.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\cagwiz.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\rxclts3.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\rive.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\ovtext32.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\isagx5.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\lytrn13.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\dqmsvinn.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\dtlcpy32.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\mtjter40.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\mystkprp.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\dyldev32.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K C:\WINDOWS\SYSTEM\mjvcr70.dll Fri Dec 31 2004 3:39:26a ..S.R 217,088 212.00 K ________________________________________________ 1,096 items found: 1,096 files (45 H/S), 0 directories. Total of file sizes: 215,961,258 bytes 205.95 M --------------------End log--------------------- HIJ im abgesicherten Modus: Logfile of HijackThis v1.99.0 Scan saved at 20:04:12, on 05.01.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\CFGWIZ.EXE /R O4 - HKLM\..\Run: [zSPGuard] c:\programme\pjw\spguard\spguard.exe /s /r O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - Startup: Verknüpfung mit mapOchar.exe.lnk = C:\WINDOWS\Desktop\mapOchar.exe O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: JAP.lnk = C:\Programme\Jap\jap.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL ------------------------------------------------------------------ |
|
05.01.2005, 20:41
| #15 |
| | VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! * DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ C:\bootlog.txt Wed Jan 5 2005 8:29:30p A..H. 73,746 72.02 K C:\bootlog.prv Wed Jan 5 2005 8:26:46p A..H. 109,009 106.45 K C:\io.sys Wed May 5 1999 10:22:00p ..SHR 222,390 217.18 K C:\msdos.sys Wed Aug 7 2002 10:07:38p A.SHR 1,687 1.64 K C:\system.1st Wed Sep 15 1999 2:06:56p ...HR 679,968 664.03 K C:\verknš~1.lnk Wed Jan 5 2005 11:14:48a A.... 192 0.19 K C:\fwwjaw3w.sys Fri Jun 14 2002 3:30:58p A.SH. 960 0.94 K C:\fwwjao30.sys Wed May 5 1999 10:22:00p A.SH. 960 0.94 K C:\dblspace.ini Fri May 24 2002 9:18:24a ..SHR 84 0.08 K C:\drvspace.bin Wed May 5 1999 10:22:00p ..SHR 69,079 67.46 K C:\dblspace.bin Wed May 5 1999 10:22:00p ..SHR 69,079 67.46 K C:\detlog.txt Mon Oct 11 2004 12:42:56p A.SH. 76,521 74.73 K C:\iou.sys Fri Aug 9 2002 12:37:42p ..SHR 4 0.00 K C:\system.new Fri Dec 6 2002 8:29:24p ...HR 6,021,152 5.74 M C:\treeinfo.wc Thu Mar 25 2004 7:50:14p ...H. 120,923 118.09 K C:\videorom.bin Tue Apr 13 2004 6:03:36p ..SH. 32,256 31.50 K C:\detlog.old Wed Oct 6 2004 5:19:12p ..SH. 76,442 74.65 K ________________________________________________ 87 items found: 49 files (16 H/S), 38 directories (3 H/S). Total of file sizes: 12,753,089 bytes 12.16 M --------------------End log--------------------- Habe keinen escan. Hatte die demoversion heruntergeladen, die ist jetzt abgelaufen. Habe ja auch Norton AV mit Update. Das lässt sich -trotz mehrmaliger Installation- nicht mehr starten? Kennst Du hierfür einen Grund? Seit ich diese Trojas habe, hat Norton das Shield abgebrochen und startet nur noch im DOS-Modus! Dort sagt er: KEIN VIRUS! |
|
| Themen zu VIELE TAUSEND PFERDE und mehr... HHHIILLFFFEE! |
| adobe, application, askbar, browser, danke, dateien, desktop, dsl, ebay, escan, explorer, hijack, hijackthis, homepage, infected, internet, internet explorer, langsam, liveupdate.exe, location, microsoft, object, programme, registry, registry scan, rundll, seiten, shockwave, software, spyware, sun java, super, system, unknown file in winsock lsp, upd.exe, windows |
Linear-Darstellung
